病毒预报（2004.11.8- 2004.11.14）

网络安全

更多 ↓

病毒预报（2004.11.8- 2004.11.14）

来源：网信中心发布时间：2004-11-15访问次数：368

　　近日，IE浏览器又出现一个严重的安全漏洞，恶意用户可以利用HTML电子邮件信息或恶意网页，控制被计算机系统。由于利用该漏洞的代码已经被公布在互联网上，因此，目前这一漏洞具有高危险性。

　　IE在处理"frame"和"iframe"HTML元素的两种属性时就可能会出现缓冲区溢出，新发现的IE漏洞正是利用了这一点。当用户使用一个存在漏洞的IE版本访问恶意网页或使用Outlook、Outlook Express、AOL以及Lotus Notes等依赖于WebBrowser ActiveX控件的软件查看HTML电子邮件时，都有可能会受到攻击。

　　目前，只有安装了Windows XP SP2的系统就不存在这一漏洞， Windows XP SP1和Windows 2000即使安装了所有的补丁，其所带的IE 6.0浏览器仍然存在这一漏洞。目前微软还没有发布相关的安全补丁。

针对该漏洞的建议

1、使用Windows XP的用户，安装Windows XP SP2

2、系统管理员还可以禁用活动脚本(active scripting)，阻止访问非主动链接

3、在电子邮件中使用纯文本，这样也可以减少部分危险性

4、浏览网页时提高警惕，不要随便进入不明网站，一旦发现IE浏览器失去响
　　应，立即终止IE进程，并断开网络连接，查找问题

5、及时更新防病毒软件，并启动"实时监控"功能

"贝革热"病毒变种Worm_Bbeagle.AT

　　国家计算机病毒应急处理中心通过对互联网的监测，发现"贝革热"病毒出现了新的变种。该变种通过邮件和共享文件夹进行传播，病毒运行后修改注册表，在系统目录下创建文件。
　　
　　病毒在本地搜索邮箱地址时，排除了安全厂商及相关机构的邮箱地址，避免过早的被这些企业、机构得到病毒样本。同时病毒还会终止一些安全软件的运行。病毒邮件的附件名称为price或joke，邮件的内容为":))"。由于该病毒特征较为明显，希望用户引起注意，遇到此类邮件立即删除。

病毒名称：Worm_Bbeagle.AT（"贝革热"病毒变种）
其它英文命名：Win32.Bagle.AQ （Computer Associates）
　　　　　　　Worm_Bbeagle.bf（瑞星）
　　　　　　　Worm_Bbeagle.t（金山）
　　　　　　　W32.Beagle.AV@mm （Symantec）
　　　　　　　W32/Bagle.BC.worm （Panda）
　　　　　　　WORM_BAGLE.AT （Trend Micro）
　　　　　　　Bagle.AT （F-Secure）
　　　　　　　W32/Bagle.bb@mm （McAfee）
　　　　　　　W32/Bagle-AU （Sophos）
　　　　　　　I-Worm.Bagle.at （Kaspersky）
　　　　　　　W32/Bagle.AQ@mm （Norman）
感染系统：Windows 2000, Windows 95, Windows 98, Windows Me,
　　　　　Windows NT, Windows Server 2003, Windows XP
病毒特征：

1、生成病毒文件

　　病毒运行后在%System％目录下生成wingo.exe、wingo.exeopen、wingo.exeopenopen。
（其中，%System%为系统文件夹，在默认情况下，在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32）

2、修改注册表项

　　病毒会添加注册表项，使得自身能够在系统启动时自动运行，在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加
"wingo" = "%System%\wingo.exe"
病毒还会在HKEY_CURRENT_USER\Software\Microsoft\Params下添加
"Timekey" = "[ 随机变量 ]"

3、通过电子邮件传播

　　病毒通过电子邮件进行传播，病毒搜索被感染计算机内多种类型的文件（文件类型见文档末尾），从中找到邮件地址，并使用自带得SMTP引擎向这些地址发送病毒邮件，病毒同时会避免向一些包含特定字符的地址发送邮件（过滤的字符见文档末尾）。病毒邮件格式如下
发信人：虚假的地址

主题：（为下列之一）
Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks :)
内容：
:))
附件名称：（为下列之一）
Price
price
Joke
附件的扩展名：（为下列之一）
COM
CPL
EXE
SCR

4、通过网络共享进行传播

　　病毒搜索包含字符串shar的文件夹，并在找到的文件夹下生成自身的拷贝，拷贝有多种名称，如"Kaspersky Antivirus 5.0"、"WinAmp 6 New!.exe"、"Porno Screensaver.scr"。

5、阻止安全软件的运行

　　病毒为了保护自身的运行，会终止一些与安全软件相关的进程，以便阻止他们的运行。

清除该病毒的一些建议：

1、终止病毒进程

　在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC，选择"任务管理器--〉进程"，选中正在运行的进程wingo.exe、wingo.exeopen、wingo.exeopenopen，并终止其运行。

2、注册表的恢复

　　点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的"wingo" = "%System%\wingo.exe"
依次双击左侧的HKEY_CURRENT_USER\Software\Microsoft\Params ，并删除面板右侧的"Timekey" = "[ 随机变量 ]"

3、删除病毒释放的文件

　　点击"开始--〉查找--〉文件和文件夹"，查找文件wingo.exeopen、wingo.exeopenopen，并将找到的文件删除。

4、运行杀毒软件，对系统进行全面的病毒查杀

专家提醒：

1、因为很多病毒是利用已知的漏洞和缺陷进行传播的，所以用户一定要定期升级操作系统和常用软件，并及时修补漏洞，堵住病毒入口。

2、对系统和重要数据做好备份，而且在本机备份外，最好同时做异地备份，如备份在其它机器、光盘或移动硬盘上，确保备份的安全性。

3、各企事业单位要建立健全企业内部信息安全管理制度，建立病毒事件出现后的应急机制和处置方案，确保本单位在病毒事件发生时能作好及时有效的处理工作。